»Datenschutz ist Überzeugungsarbeit« – die Datenschutzbeauftragte des Bistums Würzburg Eva Gregor im Gespräch

Nach zweieinhalb Jahren hat das Bistum Würzburg sein Projekt »Einführung eines KDG-konformen Datenschutzmanagements« Ende Januar abgeschlossen. Ein Projektteam aus vierzehn Personen unter der Leitung der Datenschutzbeauftragten des Bistums, Eva Maria Gregor, hat das Projekt umgesetzt – über die Herausforderungen, in einer Organisation mit Hunderten von Hauptamtlichen und unzähligen Ehrenamtlichen ein wirksames Datenschutzmanagement nicht nur einzuführen, sondern mit allen Beteiligten an einem Strang zu ziehen, um verantwortungsvoll mit personenbezogenen Daten umzugehen, erzählt die Juristin im Interview mit Artikel 91.

Die Würzburger Datenschutzbeauftragte Eva Maria Gregor vor dem Würzburger Dom

Eva Maria Gregor ist seit Januar 2020 Datenschutzbeauftragte der Diözese Würzburg. Zuvor war die Volljuristin in einer auf Datenschutz spezialisierten Unternehmensberatung tätig.
(Bildquelle: fotogoocom, »Dom zu Würzburg von der Festung aus gesehen«, CC BY 3.0/Kerstin Schmeiser-Weiß (POW)/Montage fxn)

Frage: Frau Gregor, was unterscheidet die Einführung eines Datenschutzmanagements in einem Bistum von ähnlichen Projekten in Firmen oder Behörden?

Eva Maria Gregor: Kirche ist etwas ganz eigenes. Wir haben ganz andere Strukturen, ganz andere Kommunikationswege, auch die Zusammenarbeit mit Ehrenamtlichen gibt es sonst nicht in Unternehmen. Das macht ein solches Projekt in der Kirche einerseits schwieriger, weil man Dinge an ganz unterschiedlichen Stellen positionieren muss, damit sie ankommen, andererseits kann es aber auch einfacher sein, weil man einfacher an die Menschen herankommt und sie mitnehmen kann.

Frage: Wie wurden die Haupt- und Ehrenamtlichen im Bistum mitgenommen?

Gregor: Von Anfang an haben wir dafür gesorgt, dass sich die Leute direkt bei mir melden konnten. Wenn Haupt- oder Ehrenamtliche Fragen hatten, gab es direkt von mir eine Antwort. Das hat für das Projekt viel gebracht, weil ich jederzeit wusste, was für Probleme es gibt und wo Unsicherheiten sind. In Unternehmen zieht man Projekte oft andersherum auf: Dort wird erst das umgesetzt, was nach außen wichtig ist wie Datenschutzerklärungen und Informationspflichten, und in einem zweiten Schritt gibt man nach innen Vorgaben durch, die umzusetzen sind. Das würde in der Kirche nicht funktionieren, da muss man die Menschen viel mehr einbeziehen.

Frage: Bei der Einführung des neuen Datenschutzrechts 2018 gab es viele Vorbehalte, auch in der Kirche. Das führt oft zu Blockadehaltungen. Hat sich das in Würzburg gelegt?

Gregor: Als das Projekt im Juni 2018 begonnen hatte, nach Inkrafttreten des KDG, spürte man schon die ganzen Unsicherheiten. Datenschutz ging viel durch die Medien, einiges wurde aufgebauscht, manche hatten Angst, etwas falsch zu machen, andere waren von dem Thema genervt und haben sich dem ganz verweigert. Das konnten wir im Laufe des Projekts bei uns tatsächlich verändern und viele Unklarheiten beseitigen. Durch praktische Vorlagen und Handlungsempfehlungen konnten wir aber den Leuten viel Arbeit abnehmen und gute Standards einführen. Natürlich gab es nicht nur positive Rückmeldungen. Das nehme ich nicht persönlich, ich kann ja nichts für die Gesetzgebung. Manchmal ist es sogar gut, wenn sich Leute aufregen: Das ist eine Gelegenheit, darüber ins Gespräch zu kommen und gemeinsam Lösungen zu finden.

Frage: Um eine Vorstellung von der Größe zu bekommen: Wie umfangreich ist das Verfahrensverzeichnis eines Bistums?

Gregor: Wir haben allein für das Ordinariat über 1000 Verarbeitungstätigkeiten. Die Kirchenstiftungen und die Verbände sind da noch gar nicht dabei, das ist allein die Verwaltung. Wir hätten teilweise auch noch etwas mehr abstrahieren können, aber mehr als 800 Verarbeitungstätigkeiten wären es auch so geworden.

Frage: Wer hat denn den Durchblick über so viele Verarbeitungen? Wie haben Sie das organisiert, dass alle Verarbeitungen auch berücksichtigt werden – und das auch noch realitätsnah?

Gregor: Das Verfahrensverzeichnis war der größte Brocken im Projekt. Wir haben dafür von Anfang an das Online-Datenschutz-Management-Tool »privacy port« verwendet. Wichtiger als ein Tool ist aber die Organisation: Wir haben ein Projektteam gegründet, dessen Mitglieder relativ weit oben angesiedelt sind: aus den Hauptabteilungen, aus dem Offizialat, der Mitarbeitervertretung und der Kanzlei der Kurie. Das waren unsere Verteiler in die Hauptabteilungen und Dienststellen. Die Mitglieder des Projektteams haben verantwortliche Personen gesucht, die die einzelnen Verarbeitungstätigkeiten in den Dienststellen gesammelt haben. Die sollten überlegen, was sie den ganzen Tag über machen und das sammeln. In einem ersten Schritt wurden nur die Namen der Verarbeitungen an mich gemeldet. Ich habe dann in unserem Tool einen Eintrag im Verzeichnis angelegt, den wiederum die Ansprechpartner ausfüllen sollten: Was wird gemacht, welche personenbezogenen Daten werden verarbeitet, wer sind die betroffenen Personen, gibt es Auftragsverarbeitung und so weiter. So wurde das Verarbeitungsverzeichnis von den Menschen aufgebaut, die auch tatsächlich wissen, was sie machen – und wenn es eine Änderung gibt, kann das dank Onlinetool sehr schnell gemacht werden. Mit irgendwelchen Excel-Listen oder Word-Dokumenten wäre das viel umständlicher.

Frage: Und dann kommen noch die Betroffenenrechte ins Spiel. Wie löst man das in so einer komplexen Organisation?

Gregor: Auch da hilft unser Tool, aber das kann in so einer großen und verzweigten Organisation gar nicht alles abbilden. In die einzelnen Prozesse sind viele Verantwortliche eingebunden, vieles wird nicht gelöscht, sondern landet in kirchlichen Archiven. Da hilft dann wieder unser Projektteam, dessen Mitglieder viel davon verstehen, wie im Bistum gearbeitet wird: Die bekommen die Information, das eine Information angefordert wurde, und überprüfen dann, wer die benötigten Informationen hat. Manchmal braucht es auch Rückfragen bei der betroffenen Person, mit welcher Dienststelle sie Kontakt hatte, ob es vielleicht kirchliche Vereine oder Verbände gibt, die zusätzlich angefragt werden müssen. Ich sammle dann alle Informationen und beantworte auf dieser Grundlage die Anfrage.

Frage: Wie oft kommt es vor, dass Menschen ihre Betroffenenrechte gegenüber der Diözese ausüben?

Gregor: Weniger als wir gedacht haben, in der Größenordnung von fünf mal pro Jahr, das ist sehr übersichtlich. Es kommt auch sehr selten vor, dass Menschen »einfach so« fragen, welche Daten gespeichert sind, stattdessen gibt es meistens einen Anlass: Wenn jemand beispielsweise Post bekommen hat und nicht klar ist, woher die Adressdaten kommen, oder Leute, die aus der Kirche ausgetreten sind, fragen, welche Daten noch über sie gespeichert sind.

Frage: So wie Sie das Datenschutzmanagement schildern, braucht es dafür eine große Bereitschaft in der Organisation, mitzuarbeiten. Wie nimmt man die Haupt- und Ehrenamtlichen dabei mit?

Gregor: Ein wichtiges Element ist unser Intranet. Dort gibt es eine Gruppe »Datenschutz und KDG«, in der alle Hauptamtlichen Mitglied sind. Auch Ehrenamtliche haben Zugriff auf die Gruppe, sie müssen sich aber selbst anmelden. Über diese Gruppe informiere ich über Änderungen oder neue Dokumente. So werden alle ohne ständige Rundmails regelmäßig informiert. In der Gruppe können alle auch Fragen stellen, kommentieren und diskutieren. Dadurch erfahre ich viel aus der praktischen Arbeit und kann durch diese Rückmeldungen dann Dokumente, Formulare und Handreichungen anpassen. Dazu kommen dann noch Online-Basisschulungen für Hauptamtliche. Am besten sind aber Schulungen vor Ort, wo die Leute konkrete Fragen stellen können und ich mit ihnen über ihre Arbeit ins Gespräch kommen kann, ganz praktisch und nicht allzu juristisch. Entweder biete ich die selbst an zu Fragen, die gerade aktuell sind, oder man lädt mich ein, um zu einem bestimmten Thema oder mit einer bestimmten Zielgruppe zu arbeiten. Gerade bei Ehrenamtlichen ist der direkte Kontakt sehr wichtig, auch weil sie dann wissen, dass sie sich direkt an mich wenden können.

Frage: Ehrenamtliche haben fast alle keine Dienstgeräte – und damit hat man die üblichen Probleme mit »Bring your own device« potenziert. Wie geht man damit in einem Datenschutzkonzept um?

Gregor: Das ist auf jeden Fall schwierig. Die haben in der Tat keine Dienstgeräte. Zum Teil haben sie von uns eine eigene E-Mail-Adresse und damit auch ein Webmail-Konto. Wir versuchen Datenverarbeitung auf eigenen Geräten so weit es geht zu vermeiden, indem wir einen Zugang zu unserem Intranet zur Verfügung stellen. Aber natürlich werden vor Ort auch private E-Mail-Adressen und private Telefone verwendet, das lässt sich gar nicht verhindern.

Frage: Ein Dauerbrennerthema sind Messenger-Dienste. Da hat das Bistum Würzburg eine erstaunlich liberale Lösung gewählt …

Gregor: Wir haben uns bei uns nach der ausdrücklichen Empfehlung für unser Intranet, das auch einen Chat anbietet, uns auf Threema, Telegram und Signal geeinigt – in dem Wissen, dass die Server nicht in der EU stehen, aber mit Handlungsanweisungen, wie man das möglichst datensparsam gestalten kann. Das war für uns der beste Kompromiss. Wir brauchen schließlich einen Messenger, den die Leute auch tatsächlich nutzen, deshalb kamen oft auch keine kostenpflichtigen Lösungen in Frage. Wir weisen die Ehrenamtlichen darauf hin, dass sie zum Beispiel für Ministrantengruppen oder die Kirchenverwaltung auf solche Messenger umsteigen sollen. Das klappt zum Teil, aber ich habe auch nicht überall meine Augen und kann es nicht kontrollieren.

Frage: Telegram hat nicht unbedingt den besten Ruf. Wie kam es dazu, dass sie das empfehlen?

Gregor: Das haben wir damals insbesondere mit der Jugendarbeit abgestimmt. Die machen viel über Messenger und brauchten eine Lösung, die auch genutzt wird. Uns wurde rückgemeldet, dass Telegram ohnehin schon von vielen Jugendlichen privat genutzt wird. Mit unseren Handlungsanweisungen, geheime Chats zu nutzen und in Gruppenchats keine personenbezogenen Daten zu veröffentlichten, schien uns das rechtlich vertretbar zu sein. Wir weisen immer auf unsere Prioritäten hin: Bei uns ist die erste Alternative unser Intranet, das zweitbeste ist Threema, das wird für die Hauptamtlichen auch bezahlt, und bei den Ehrenamtlichen gibt es Signal oder Telegram mit den entsprechenden Anwendungshinweisen.

Frage: Sie haben sich intensiv mit dem KDG auseinandergesetzt, jetzt steht die Evaluierung an. Hat sich im Rahmen Ihres Projektes dazu etwas ergeben, wo Sie Änderungsbedarf sehen?

Gregor: Das, was alle anderen wohl auch anmerken würden: Das Schriftformerfordernis bei der Einwilligung sollte fallen. Das ist im hauptamtlichen Bereich kein Problem, wir holen eine schriftliche Einwilligung ein und dokumentieren sie. Das wird so bleiben. Im ehrenamtlichen Bereich ist es schwieriger, immer die Schriftform einzuhalten.

Frage: Beschwerden kommen oft auch im Komplex Bildrechte und Livestreaming. Könnte da eine Gesetzesänderung sinnvoll sein?

Gregor: Man könnte natürlich etwas Klarstellendes ins Gesetz aufnehmen. Das sind aber Bereiche, die sehr schnelllebig sind, und ich weiß nicht, ob man sich einen Gefallen tut, wenn man das ausführlich gesetzlich regelt. In dem Bereich kommen wir ganz gut klar.

Frage: Nicht alle sind so weit wie das Bistum Würzburg. Was ist ihr Tipp für kirchliche Verantwortliche, die mit dem Projekt eines Datenschutzmanagements beginnen wollen?

Gregor: Ganz praktisch: Es sollte soviel wie möglich online und strukturiert stattfinden, mit möglichst wenigen unübersichtlichen Dokumenten, die in irgendwelchen Ordnern liegen. Dann braucht es eine gute Einbindung in die Organisation. Es ist wichtig, das Thema möglichst weit oben in der Hierarchie aufzuhängen, weil man sonst nicht zu den verantwortlichen Personen durchdringen kann. Nur so wird deutlich, wie wichtig das Thema ist. Dabei darf man aber nicht versuchen, die Umsetzung von oben aufzudrücken. Es braucht gute Kommunikationskanäle, um an die richtigen Leute ranzukommen und möglichst viele möglichst direkt zu erreichen. Man muss mit den Leuten sprechen, sich ihre Sorgen im Alltag anhören, nachfragen, warum Formulare Probleme machen oder warum etwas nicht so umgesetzt wird, wie ich mir das als Datenschutzbeauftragte ausgedacht habe, und dann nachsteuern. Ein Datenschutzprojekt besteht zu großen Teilen aus Überzeugungsarbeit.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.